DS-Lite-Problematik lösen

IPv6 macht VPNs Probleme

24.08.2016 von Thomas Bär und Frank-Michael Schlede

Immer mehr Internet-Zugänge basieren auf dem neuen IPv6-Standard. Was sich nach Neuerung anhört, kann im Zusammenspiel mit VPN zu einem Problem werden.

Ausgerechnet im VPN-Umfeld kann IPv6 Probleme bereiten.
Foto: PixBox - Fotolia.com

Dass die IPv4-Adressen so langsam zur Neige gehen, hat sich rumgesprochen und seit Jahren wird in den Medien über die Umstellung auf den IPv6-Adressraum berichtet. Faktisch alle modernen netzwerkfähigen Geräte sind dann aktuell auch für den Datenaustausch über das modernere Protokoll vorbereitet. Die gängigen Windows-, OS-X- und Linux-Betriebssysteme arbeiten allesamt ebenfalls mit IPv6 zusammen. So weit so gut - jedoch ausgerechnet im VPN-Umfeld kommt es zu einer unangenehmen Nebenwirkung: Der Fernzugriff von unterwegs in das Firmen- oder Heimnetzwerk funktioniert möglicherweise nicht mehr.

Was ist DS-Lite?

Der IPv6-Dual-Stack in der Lite-Ausprägung: Er verhindert leider einen Zugriff auf lokale Ressourcen per VPN-Verbindung.
Foto: ionas OHG

Trotz der namentlichen Ähnlichkeit sind die bisher weit verbreitete Version 4 des TCP/IP-Protokolls und IPv6 nicht miteinander kompatibel. Ist der Internet-Zugang als "Dual Stack" ausgelegt, so bietet der Provider beide Versionen gleichzeitig an. Ist jedoch der Internet-Zugang als "DS-Lite" ausgebaut, so handelt es sich um einen abgespeckten "Protocol Stack", bei dem ausschließlich IPv6 zum Einsatz kommt.

Bei einem solchen DS-Lite-Zugang kann der Anwender nach wie vor aus dem eigenen Netzwerk heraus über beide IP-Protokolle Verbindungen aufbauen und somit IPv4- und IPv6-Webdienste nutzen. Alle ausgehenden IPv4-Verbindungen setzt der Provider durch einen DS-Lite-Tunnel um, der die IPv4-Pakete in IPv6-Pakete packt. Auf diesem Weg gelangen alle Datenpakete zum IPv6-/IPv4-Gateway des Dienstanbieters. Dort wird die IPv6-Hülle entfernt und das Paket wird über IPv4 zum Ziel weitergeroutet. Für Verbindungen "nach draußen" unterscheidet sich DS-Lite durch den "4in6-Tunnel" somit nicht wirklich von einem vollwertigen Dual-Stack-Anschluss.

In der anderen Richtung, beim Zugriff von außen auf ein dediziertes Gerät im lokalen Netzwerk, kommt es jedoch zu einem Verbindungsproblem: Der DS-Lite-Anschluss verfügt lediglich über eine öffentliche IPv6-Adresse und ist für Systeme mit herkömmlichen IPv4-Zugängen, und das ist nach wie vor die große Mehrheit, nicht zu erreichen.

DS-Lite Probleme umgehen

Bevor wir softwaretechnische Möglichkeiten zur Umgehung solcher Probleme beim VPN-Zugriffe in IPv6-Netzen anschauen, wollen wir zunächst die Möglichkeiten betrachten, die den Dual-Stack-Lite-Kunden zur Verfügung stehen, um einen problemlosen, direkten Zugriff auf interne Geräte auch aus dem Mobilfunknetzwerk einzurichten.

Die Handynetze werden auf IPv6 umgestellt. Warten bis Telekom, Vodafone und O2/E-Plus die Umstellung abschließen. Das kann aber noch eine Weile dauern.
Der Provider etabliert eine zusätzliche Software-Lösung, die trotz Dual Stack Lite Anfragen per IPv4 an das lokale Netzwerk weiterleitet.
Der Kunde überzeugt seinen Internet-Provider, dass wieder ein vollwertiger IPv4-Anschluss zu schalten ist. Da es sich um eine aussterbende Technik handelt, sind die Erfolgschancen jedoch eher gering.
Provider-Wechsel mit einem klassischen Vertrag und fester IPv4-Adresse. Ist jedoch eine teure Lösung.
Verwendung eines Dienstes (in der Regel eines Software), der zwischen den beiden IP-Welten vermittelt.

Vermittlung zwischen den beiden IP-Welten

Dank einer zusätzlichen Software auf dem ionas-Server ist ein Zugriff auch aus IPv4-Netzen heraus möglich. Dabei übernimmt ein Dienst, wie er zum Beispiel von feste-ip.net angeboten wird, die Übersetzung.
Foto: ionas OHG

Während die ersten vier Lösungsvorschläge Aktivitäten von Seiten des Anbieters voraussetzen, hat der Anwender bei der Verwendung einer eigenen Software (Punkt 5) selbst das sprichwörtliche Zepter in der Hand. Eine solche Software ist beispielsweise der "ionas Server".

Kern des Servers ist ein VPN Tunnel, der von einem mobilen Client, Smartphone oder Laptop zum ionas-Server im eigenen Netzwerk führt. Da ein direkter Aufruf nicht funktioniert, wird ein weiterer Dienst, beispielsweise von feste-ip.net benötigt, der als Übersetzer zwischen der bisher gebräuchlichen IPv4-Welt und dem neuen IPv6-Adressraum fungiert.

Viele moderne Router erlauben bereits eine IP-Filterung auf IPv6-Basis. So lässt sich dann beispielsweise auch der eingehende IPv6-Datenverkehr limitieren, wenn er über DS-Lite ankommt.

Diese Mischung aus IP-Service und dem lokal zu installierenden Server ermöglicht einen sicheren und ortsunabhängigen Zugriff auf das Netzwerk, trotz DS-Lite-Anschluss. Auf der Webseite des Anbieters findet der interessierte Leser weitere grundsätzliche Anleitungen und Szenarien der Anbindung, beispielsweise für den äußerst populären Raspberry Pi-Kleinrechner als Gateway. Praktischerweise hilft ein Software-Assistent bei der Einrichtung des ionas-Servers.

Voraussetzung für den ionas-Server

Ein Dual Stack Lite DSL Anschluss und ein IPv6-fähiger Internet-Router
ionas-Server, beziehungsweise Raspberry Pi mit einer externen IPv6-Adresse im lokalen Netzwerk
Der OpenVPN-Server auf dem ionas-Server muss so konfiguriert sein, dass er IPv6-Pakete im TCP-Protokoll entgegennimmt
Der Router muss IPv6-OpenVPN Pakete, die an den ionas-Server adressiert sind, passieren lassen
Bei feste-ip.net ist die Einrichtung eines kostenpflichtigen Portmappers notwendig, der die IPv4-Pakete in IPv6-Pakete umrechnet und an den ionas-Server weiterleitet. Dieser Dienst ist für einen Testzeitraum von 50 Tagen zunächst kostenlos.
Smartphone oder ein Notebook mit entsprechend konfigurierter OpenVPN-App, der dann IPv4-basierte Pakete im RCP-Protokoll verschickt

Wie hält es der Branchenprimus?

Bei IPv4 schweigt leider der Router: Hier handelt es sich um einen leistungsreduzierten IPv6-DS-Lite-Anschluss, der für externe Quellen kaum erreichbar ist.

Mit Hilfe des DS-Lite-Verfahrens können IPv4-Anwendungen, wie die VPN-Lösung der FRITZ!Box, Datenpakete auf über einen IPv6-Internet-zugang versenden. Benutzer mit einem DS-Lite-Zugang können, ohne weitere Zusatzsoftware, eine Verbindung zu einem VPN-Server, beispielsweise einer anderen FRITZ!Box, herstellen, sofern diese nicht ebenfalls an einem DS-Lite-Internetzugang betrieben wird. Lediglich einkommende VPN-Verbindungen mit FRITZ!Fernzugang sind laut AVM nicht möglich, wenn die FRITZ!Box an einem DS-Lite-Internetzugang betrieben wird.

AVM unterstützt daher laut eigenen Angaben die Entwicklung des Port Control Protocols (PCP), mit dem VPN-Verbindungen zur FRITZ!Box und andere einkommende IPv4-Verbindungen über DS-Lite möglich sein werden. Allerdings muss Kabel- beziehungsweise DSL-Anbieter dazu das Port Control Protocol auch unterstützen.

Grundsätzlich unterstreicht der Anbieter: IPv6-VPN-Verbindungen werden von der FRITZ!Box nicht unterstützt, da darüber keine IPv4-Daten übertragen werden können. Zudem könnten solche IPv6-Verbindungen nur hergestellt werden, wenn beide Teilnehmer über eine IPv6-Internet-Anbindung verfügen, was in den meisten Fällen wie etwa im Mobilfunknetz oder an WLAN-Hotspots jedoch nicht gegeben ist. (mb)